• Share
  • Email
  • Embed
  • Like
  • Private Content
9. Direct Access Workshop - Marc Eggenberger
 

9. Direct Access Workshop - Marc Eggenberger

on

  • 1,215 views

Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live ...

Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live Demonstration.

Statistics

Views

Total Views
1,215
Views on SlideShare
1,214
Embed Views
1

Actions

Likes
0
Downloads
7
Comments
0

1 Embed 1

http://www.digicomp.ch 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    9. Direct Access Workshop - Marc Eggenberger 9. Direct Access Workshop - Marc Eggenberger Presentation Transcript

    • Microsoft Direct AccessSwiss IPv6 Councilswissipv6council.chSunny Connection AGwww.sunny.ch
    • Themen Was ist Direct Access VPN Bisher Direct Access High Level Direct Access Voraussetzungen Installation Mögliche Probleme Fazit2 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Was ist Direct Access?
    • Direct Access von Microsoft Always Connected – Better Protected – East to Manage Feature von Windows 7 & Windows Server 2008 R2 „Seamlessly connected“ „Improve Productivity of Mobile Workforce“ „Improved Manageability of Remote Users“ „Improved Security“ VPN? Steht nirgends4 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Remote Access / VPN bisher Secure Clients „graben“ sich tief ins System ein Oft erst nach Login, nicht schon bei Ctrl-Alt-Del Funktionieren nicht überall: IPSec gesperrt PPTP hinter NAT nur 1 User User müssen Verbindung herstellen5 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • DA High Level Übersicht Remote Access Solution von Microsoft – Neues „VPN“ Bidirektionale Always on Verbindung – auch vor der Windows Anmeldung Funktioniert automatisch und von allen Netzen aus: Zuhause Hotel Etc Verwaltung komplett über GPO möglich Kommt in 2 Geschmacksrichtungen: Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 only Vanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv46 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Vorraussetzungen für DA Client Windows 7 Enterprise / Ultimate PKI Infrastruktur Computer & SSL Zertifikate Health Certs wenn NAP CRL Distribution Point (erreichbar intern UND extern) IPSec & GPOs DNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 sein NLS Server 2 öffentliche IPs – aufeinanderfolgend und nicht genNATed Einige Firewall Exception Rules IPv67 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Unterschied mit und ohne UAG Ohne UAG – Vanille Mind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2 Nur IPv6 Resourcen erreichbar Mit UAG – Vanille Erdbeere UAG muss 2008R2 sein Interne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS648 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Und nun Setup.exe ausführen? Wird schiefgehen – Ziemlich sicher Alle Voraussetzungen erfüllt? Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?9 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Nochmals einige Vorraussetzungen Windows 7 Enterprise oder Ultimate PKI Erreichbare CRL - http://technet.microsoft.com/en- us/library/ee649168(WS.10).aspx Spezielle Vorlagen für DA Clients und SSL-Server - http://technet.microsoft.com/en- us/library/ee649249(WS.10).aspx Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt - http://technet.microsoft.com/en-us/library/dd857262.aspx NLS DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.10 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Jetzt den UAG Assistenen starten11 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • UAG Assistent12 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • UAG Assistenen13 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • UAG Assistent14 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • UAG AssistentNext – Next – Next …..Moment, was war das jetzt gleich?Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernenund einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx15 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • ISATAP aktivieren? Konsequenzen Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann16 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Bisher17 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Neu18 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • IPv6 funktioniert – Toll oder? Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat Vorrangt Ist doch super – Oder etwa nicht? Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle) Testen testen testen Im Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen19 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • ISATAP Muss nicht über DNS aktiviert werden Test Rechner muss nur Host ISATAP auflösen können Hostsfile Eintrag ISATAP kann auch pro Hosts/Server deaktiviert werden: netsh interface isatap set state disabled Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nicht Erste Schritte: Kein A Eintrag für ISATAP Nur auf Testrechner aktivieren und Hosts Eintrag verwenden20 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Weiter im DA Assistenten Authentication Options – Die Zertifikate für die Authentifizierung angeben Infrastructure Server NLS Server angeben DNS Suffixe für interne DNS Server DC Server Application Server End-to-Edge authenticaton and encryption für alle oder nur spezifische App Server Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind21 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Group Policies22 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Ablauf UAG/DA Client Verbindungsaufbau Client prüft via NLS ob er intern ist: Ja direkt Nein extern Direkt im Internet (kein NAT) Client benutzt 6to4 Hinter NAT und UDP geht Client benutzt Teredo Hinter NAT und UDP blockiert HTTPS-Tunnel über TCP/44323 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Tunnel ist vor Useranmeldung verfügbar DA-Client UAG Tunnel 1: DA-ClientAuth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management 24 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • DNS - NRPT Client muss wissen, welchen DNS Server er wann benutzt Name Resolution Policy Table (NRPT) Feature von Windows 7 / 200825 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Aktive Verbindungen – wo seh ich die? UAG Server Windows Firewall With Advanced Security > Monitoring > Security Associations > Main Mode netsh advfirewall monitor show mmsa DA Client netsh advfirewall monitor show mmsa26 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Mögliche Probleme HTTP/S Interface auf dem UAG kann nicht gestartet werden: A timeout occurered. The IP-HTTPS network interface cannot be enabled. Server neu installieren Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht: Allow edge traversal auf einer spezifischen Firewall rule erlauben: http://technet.microsoft.com/en-us/library/ee809076.aspx27 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Fazit Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen Bidirectional Vor dem Login verfügbar Transparent für den Benutzer ABER …. Der Implementierungsaufwand darf nicht unterschätzt werden!!!28 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Ausbildung Zur Zeit sind folgende Kurse im Angebot: 2-tägiger IPv6 Essentials Hands-On Workshop Wird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011 2-tägiges IPv6 Essentials Seminar Öffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben. Auf www.sunny.ch/education/f_seminars.htm sind alle aktuellen Kurse zu finden.29 Workd IPv6 Day @ Digicomp – 8. Juni 2011
    • Vielen Dank für die Aufmerksamkeit IPv6 Grundlagen, Funktionalität, Integration von Silvia Hagen, Deutsch 2. Auflage, Sunny Edition, 2009 ISBN 978-3-9522942-2-2 IPv6 Essentials by Silvia Hagen, English 2nd Edition, OReilly, May 2006 ISBN 978-0-596-10058-230 Workd IPv6 Day @ Digicomp – 8. Juni 2011